CMS Sicherheit April 2020
Aktuelle Sicherheitslücken in CM Systemen
In folgenden Content Managment Systemen und Plugins befinden sich aktuell kritische Sicherheitslücken, auf die reagiert werden sollte.
WordPress:
- Plugin Contact Form 7 Datepicker - Ermöglicht XSS Angriffe und Admin Übernahme. Das Plugin wird nicht mehr unterstützt und sollte deinstalliert werden.
- SEO-Plugin Rank Math - Ermöglicht die Übernahme der Webseite durch zwei schweren Sicherheitslücken. Update steht zur Verfügung und sollte dingend eingesetzt werden.
- Plugins Async JavaScript - Cross-Site-Scripting-Angriffe sind möglich. Schadcode Installation und Konto Übernahme. Update steht zur Verfügung und sollte dingend eingesetzt werden. Lücke wird aktuelle aktiv ausgenutzt!
- Flexible Checkout Fields for WooCommerce - Cross-Site-Scripting-Angriffe sind möglich. Schadcode Installation und Konto Übernahme. Update steht zur Verfügung und sollte dingend eingesetzt werden. Lücke wird aktuelle aktiv ausgenutzt!
- Modern Events Calendar Lite - Cross-Site-Scripting-Angriffe sind möglich. Schadcode Installation und Konto Übernahme. Update steht zur Verfügung und sollte dingend eingesetzt werden. Lücke wird aktuelle aktiv ausgenutzt!
- 10Web Map Builder for Google Maps - Cross-Site-Scripting-Angriffe sind möglich. Schadcode Installation und Konto Übernahme. Update steht zur Verfügung und sollte dingend eingesetzt werden. Lücke wird aktuelle aktiv ausgenutzt!
Drupal:
- Modul SVG Image - Upload von Schadcode möglich. Update steht zur Verfügung und sollte dingend eingesetzt werden.
- CKEditor - Angriffe auf Admin-Konten sind möglich. Update steht zur Verfügung und sollte dingend eingesetzt werden.
- SAML-Service-Provider-Modul - Ermöglicht Kontoeinrichtungen und Aktivierungen. Update steht zur Verfügung und sollte dingend eingesetzt werden.
Typo3:
- Add-on Magalone Flipbook - Ermöglicht Schadcode auszuführen. Update steht zur Verfügung und sollte dingend eingesetzt werden. Zusätzlich müssen unter fileadmin/user_upload/magalone/ in den Unterverzeichnissen alle upload.php-Dateien manuell gelöscht werden.
- Add-on PHPUnit - Ermöglicht Schadcode auszuführen. Update steht zur Verfügung und sollte dingend eingesetzt werden.
- Add-on phpmyadmin - Ermöglicht Schadcode auszuführen. Update steht zur Verfügung und sollte dingend eingesetzt werden.